Analyse LHV: Functionaris Gegevensbescherming voor meeste praktijken niet noodzakelijk

Volgens de nieuwe privacywet AVG is het aanstellen van een Functionaris Gegevensbescherming (FG) verplicht als u op grote schaal bijzondere persoonsgegevens verwerkt. Maar de wet is onduidelijk over wat onder “grootschalig” wordt verstaan. Dat leidt tot veel vragen van huisartsen. Uitsluitsel vanuit de overheid blijft echter uit. De LHV schat in dat bij de meeste huisartsenpraktijken geen grootschalige gegevensverwerking plaatsvindt en het aanstellen van een FG dus niet per se hoeft.

Update 14 juni 2018: Heeft uw praktijk per praktijkhouder minder dan 10.000 patiënten ingeschreven op naam? Dan bent u niet verplicht om een Functionaris Gegevensbescherming (FG) aan te stellen. Dit meldt de Autoriteit Persoonsgegevens, die toeziet op naleving van de privacywet AVG. Lees meer over deze nieuwe uitleg.

De afgelopen maanden hebben wij over allerlei aspecten van de AVG, en in het bijzonder over de verplichting tot het aanstellen van een FG, contact gehad met de privacytoezichthouder, de Autoriteit Persoonsgegevens (AP). De AP kan echter – op basis van de Europese verordening – niet meer duidelijkheid geven over waar de grens ligt tussen wel of geen grootschalige gegevensverwerking. De enige indicatie is: een solistische huisartspraktijk valt er niet onder, een ziekenhuis wel.

De LHV snapt dat deze onduidelijkheid voor huisartsen frustrerend kan zijn. We zien dat veel praktijken hun uiterste best doen om de privacy binnen hun praktijk goed te regelen en te voldoen aan de bepalingen van de nieuwe privacywetgeving. Dan is het vervelend dat zo’n belangrijk onderdeel van de wet onduidelijk blijft.

Juridisch advies: bij meeste praktijken geen sprake van grootschalige verwerking

Om onze leden goed te kunnen adviseren, hebben we onze eigen analyse gemaakt en daarover extern juridisch advies ingewonnen bij KBS Advocaten (een advocatenkantoor gespecialiseerd in de gezondheidszorg).

Mr. Niels van den Burg, KBS Advocaten schrijft: “Gelet op het geschetste spectrum (van solistisch werkzaam arts enerzijds en het ziekenhuis anderzijds) is de kans gering dat bij een samenwerking van enkele huisartsen sprake is van grootschalige verwerking. Een gemiddelde huisarts verwerkt in 2018 continu de gegevens van gemiddeld 2095 patiënten (bron: NZa). Een ziekenhuis verwerkt in de regel gegevens van ruim meer dan 100.000 patiënten. Bij 4 of 5 huisartsen komt dat derhalve neer op circa 10.000 patiënten en dan zitten zij dus aan de onderkant van het spectrum tussen een solist en een ziekenhuis.

Daarnaast is de hoeveelheid gegevens beperkt tot wat noodzakelijk is voor de behandeling, heeft de verwerking een wettelijk afgebakende duur én valt deze onder het beroepsgeheim en is de geografische omvang van de verwerkte gegevens beperkt. Derhalve kan met kracht worden betoogd dat bij huisartsenpraktijken met meerdere huisartsen op grond van de AVG geen sprake is van grootschalige verwerking van bijzondere categorieën van persoonsgegevens.”

De praktijkhouder is verwerkingsverantwoordelijke en de verwerkingsverantwoordelijke moet een FG aanstellen als hij op grootschalige wijze gegevens verwerkt. Om de omvang van de patiëntgegevens per verwerkingsverantwoordelijk te bepalen, moet gekeken worden naar het aantal inschrijvingen-op-naam. Het grootste deel van de verwerkingsverantwoordelijken heeft tussen de 2000 en 5000 patiënten op naam ingeschreven staan.

Op basis van bovenstaand advies en op grond van onze eigen afwegingen schatten wij in dat het voor veruit de meeste huisartsenpraktijken niet verplicht is om een FG aan te stellen.

Maak uw eigen afweging

Zoals hiervoor al aangegeven is de wet onduidelijk. Het is belangrijk dat iedere huisartsenpraktijk een eigen afweging maakt over het wel of niet aanstellen van een FG en dat deze afweging goed kan worden gemotiveerd. U kunt daarvoor gebruik maken van de redenering van KBS zoals hiervoor vermeld.

Daarmee is niet gezegd dat het aanstellen van een FG geen nut kan hebben. Een FG kan huisartsenpraktijken immers van advies voorzien, helpen met de implementatie van privacybeleid en aanspreekpunt voor patiënten zijn. Als u ervoor kiest wel een FG in te schakelen, zijn dat dus mogelijke voordelen.

Hopelijk meer duidelijkheid in de toekomst

In de Tweede Kamer is in maart 2018 een motie aangenomen waarin wordt gevraagd om verduidelijking van het begrip “grootschalige verwerking”. Omdat de uitleg van dit begrip in heel Europa gelijk moet zijn, zal de AP met andere toezichthouders in Europa overeenstemming moeten bereiken. Dat kan dus helaas nog wel even duren. We houden de ontwikkelingen op dit punt goed in de gaten en melden het als hier nieuws over is.

Bekijk ook het dossier AVG

LHV © 2018